Secure Boot verstehen und einrichten

Aus LinuxUser 06/2026

Secure Boot verstehen und einrichten

© Kmiragaya / 123RF.com

Umstrittene Sicherheit

Secure Boot bleibt unter Linux ein zweischneidiges Schwert – meist mit eingebauter Abhängigkeit von Microsoft.

Heutige Hardware gerät nicht nur durch CPU-Schwachstellen wie Spectre oder Meltdown unter Beschuss. Boot- und Rootkits gefährden die Bootkette ebenfalls, da sie sich bereits vor dem Start des Betriebssystems einnisten und damit häufig Sicherheitskonzepte aushebeln. Dagegen schickte Microsoft im Rahmen der UEFI-Entwicklung ab 2011 Secure Boot [1] ins Rennen und machte es ab 2012 zur Voraussetzung für die Zertifizierung neuer PCs.

Somit gehört Secure Boot seit 15 Jahren zur Standardausstattung moderner PCs. Trotzdem sorgt es bis heute regelmäßig für Diskussionen: Die Technik verspricht zwar Schutz vor Schadsoftware bereits beim Systemstart, steht aber zugleich in der Kritik, Nutzer einzuschränken und Abhängigkeiten zu schaffen. Gerade im Linux-Umfeld zeigt sich, dass Secure Boot weniger trivial ist, als es auf den ersten Blick scheint.

Vertrauensprüfung

Secure Boot setzt als Bestandteil der UEFI-Firmware noch vor dem eigentlichen Start des Betriebssystems an, um sicherzustellen, dass beim Systemstart ausschließlich nicht kompromittierte Software ausgeführt wird. Dazu überprüft die Firmware digitale Signaturen von Bootloadern, Kernel und weiteren Komponenten. Nur wenn sie zu den hinterlegten Schlüsseln passen, setzt das System den Start fort.

Die technische Grundlage bildet dabei eine hierarchische Schlüsselstruktur innerhalb der UEFI-Firmware: Der Plattformschlüssel (Platform Key, PK) bildet die Grundlage der Vertrauenskette und legt fest, welche weiteren kryptografischen Schlüssel akzeptiert werden. Dazu gehören die Key Exchange Keys (KEK), die das Verwalten weiterer Signaturen ermöglichen. In Datenbanken speichert die Firmware erlaubte (DB) beziehun...

[...]

Liebe Leserin, lieber Leser,

dieser Artikel ist derzeit nicht in vollem Umfang online zugänglich.

Sie haben die Möglichkeit, diesen Beitrag als PDF zu erwerben. Dazu nutzen Sie bitte die Box unter dem Artikel. Alternativ erweben Sie die Ausgabe als PDF in unserem Online-Shop.

LinuxUser-Artikel werden 12 Monate nach der Erstveröffentlichung automatisch freigeschaltet. Weitere Artikel aus der Zeitschrift LinuxUser 06/2026 finden Sie im Archiv.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDF
LinuxUser 06/2026 KAUFEN
EINZELNE AUSGABE
ABONNEMENTS
TABLET & SMARTPHONE APPS
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben